TMT观察网_独特视角观察TMT行业

曲速區：只有不忘歷史才能展望未來，在接下來這段時間里曲速區將帶你一起回顧區塊鏈安全事件總結與區塊鏈技術展望。

三、Bitfinex 遭黑客攻擊事件詳細回顧

今天我們來說第三個被盜事件：比特幣交易所Bitfinex 遭黑客攻擊事件

三、Bitfinex 遭黑客攻擊事件解析

時間：2016年8月

Bitfinex 是交易比特幣、ether 和萊特幣等數字貨幣的最大交易所之一。因黑客攻擊竊取了大約價值6500萬美元的比特幣后，比特幣的價格出現跳水。

根據 Bitfinex 在 8 月 2 日凌晨發布的公告，該交易所在發現了一個安全漏洞后便停止了交易。

Bitfinex 負責社區和產品開發的主管塔克特(Zane Tackett)證實，119,756 個比特幣（價值約6200萬美元）遭黑客竊取，該公司已經知道相關系統是如何被入侵的。到東京時間8月3日下午2:30分為止，比特幣兌美元價格下滑了5.5%，意味著比特幣兩日的降幅已經達到了13%。周一(8月1日)，比特幣價格下降了6.2%，盡管外界并不清楚周一的下跌是否與此次黑客攻擊有關。

從Bitfinex公告的信息上看，它最大的漏洞出在熱錢包安全機制上。Bitfinex選用的是一家叫BitGo的安全平臺公司，這家公司使用對用戶的熱錢包進行多重簽名機制，以期實現用戶BTC安全存儲。但這首先需要假設Bitfinex發送給BitGo的所有指令都是正確安全的，所以，很有可能在Bitfinex發出指令的過程中已經產生了問題

Bitfinex采用的是多重簽名的安全技術架構。一般的交易所往往采取“單簽名”記賬方式，在此之外，Bitfinex平臺自身還管理了另一個“簽名”，這些簽名的密鑰分散在多個服務器上面，一夜之間被盜光?！斑@么多服務器，要是沒有內應，也很難做到”，前述資深人士分析。

其次，Bitfinex采取的是“熱儲藏”/“熱錢包”的做法。這使得用戶的密鑰接觸到網絡的可能性大大增多，甚至100%在線，當跨賬戶的時候總是在線，給予黑客盜取的機會也更多。一般其他平臺以“冷錢包”為主，即大部分是離線保留比特幣。

數字貨幣錢包分為兩類：冷錢包及熱錢包。冷錢包也可稱之為非聯網錢包，熱錢包則可稱之為聯網錢包。

什么是冷錢包

比特幣錢包的冷儲存（Cold storage）是指將錢包離線保存的一種方法。具體來說，玩家在一臺離線的電腦上生成比特幣地址和私鑰，并將其妥善保存起來。以后挖礦或者在交易平臺得到的比特幣都可以發到這個離線生成的比特幣地址上面。由這臺離線電腦生成的私鑰永遠不在其它在線終端或者網絡上出現。

為什么要使用冷儲存呢？使用比特幣錢包冷儲存技術主要是出于安全上的考量。

舉兩個例子：

1、某比特幣超級大戶想保證他的比特幣錢包絕對安全，即使在電腦被黑客入侵的情況下，黑客依然得不到比特幣私鑰。這樣，這位大戶就必須使用冷儲存技術，他離線生成幾對比特幣地址和私鑰，作為冷儲存錢包，以后所有需要儲存的比特幣都發到這些地址上面。這樣初步就保證了比特幣的安全。

2、某比特幣交易平臺每天有龐大的比特幣用戶群，用戶在平臺上存有數以萬計的比特幣。為了保證這些比特幣的安全，交易平臺的管理人員便每天定時將主機服務器上所儲存的比特幣放入冷儲存錢包中。而只在服務器上存有少量的比特幣，來應付正常的提現請求，這樣就算黑客入侵了交易平臺主機也無法得到用戶所儲存的比特幣。

在上面的案例中可以知道，使用比特幣冷儲存技術就可以避免大部分的損失,比特幣交易平臺OKCoin一直采用的是冷存儲，所有比特幣都存儲在離線帳戶上，當平臺收到用戶比特幣充值時，將直接發送至OKCoin的離線帳戶。而每一次用戶的充值地址都是不相同的。

曲速未來實驗室提醒：Bitfinex丟幣事件，提醒我們要抓緊錢包——這個比特幣交易所平臺的核心要害。隨著比特幣行業的飛速發展，安全問題日益重要。不翼而飛的120,000個比特幣，巨額的用戶損失，Bitfinex盜竊案成為自2014年日本Mt.Gox事件后最嚴重的比特幣丟失案件，當年Mt.Go丟失價值3.5億美元、744,408BTC，并最終倒閉。雖然此次安全漏洞事件說明Bitfinex設置的自動化機制在一定程度也是失效的，但我們希望看到事件后續有良性進展，產生對行業積極影響的借鑒意義；我們希望Bitfinex不再重蹈當年Mt.Gox的結局，希望行業安全問題警鐘長鳴。